Киберугрозы в марте 2012 года: «бестелесный» бот и первый банковский троянец для Android

[Fox 235]

«Лаборатория Касперского» провела анализ киберугроз в марте 2012 года. В прошедшем месяце эксперты компании обнаружили уникальную атаку, в ходе которой злоумышленники использовали вредоносную программу, способную функционировать без создания файлов на зараженной системе — «бестелесный» бот. В ходе исследования было установлено, что заражению подвергались посетители сайтов некоторых российских онлайн-СМИ, использующих на своих страницах тизеры сети, организованной при помощи технологий AdFox. Cхема атаки была нацелена на хищение конфиденциальных данных пользователей для доступа к системам онлайн-банкинга ряда крупных российских банков. «Мы впервые за несколько лет столкнулись с этой редкой разновидностью зловредов — так называемыми «бестелесными» вредоносными программами, — поясняет главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. — И то, что они функционируют исключительно в оперативной памяти зараженного компьютера, значительно усложняет процесс их обнаружения с помощью антивируса».

 

Эксперты «Лаборатории Касперского» продолжают расследование истории троянской программы Duqu, которое длится уже шесть месяцев. В марте экспертам компании удалось установить, что фреймворк Duqu был написан на C и скомпилирован с помощью MSVC 2008. Также в прошедшем месяце был обнаружен новый драйвер, практически аналогичный тем, которые ранее использовались в Duqu. Это означает, что после четырех месяцев перерыва авторы троянца вновь вернулись к работе.

 

В марте российские правоохранительные органы совместно с исследовательской группой Group-IB завершили расследование преступной деятельности группы лиц, участвовавших в краже денег с использованием известного банковского троянца Carberp. Пресс-служба Управления «К», сообщила, что в группу входило восемь человек, жертвами злоумышленников были клиенты десятков российских банков и было совершенно хищений на сумму около 60 млн рублей. Результатом расследования стал арест злоумышленников. Однако пока автор троянца и владельцы партнерских сетей для его распространения остаются на свободе. Троянец Carberp продолжает продаваться на специализированных форумах.

 

В течение всего месяца наблюдалась небывалая активность вредоносных программ под MAC OS. При проведении одной из мартовских атак злоумышленники рассылали в спаме эротические картинки формата .JPG и замаскированные под картинки исполняемые вредоносные файлы. Еще одна новинка марта: вредоносные программы, использующие Twitter в качестве северов управления. Для распространения данных вредоносных программ злоумышленники взломали 200 000 блогов, работающих под управлением WordPress.

 

Сегмент мобильных угроз пополнился в марте кардинально новым банковским троянцем для ОС Android. Ранее существовали троянцы, ворующие мобильные коды аутентификации транзакций (mTAN), которые посылаются банком на телефон клиента в SMS-сообщениях. В середине месяца был обнаружен зловред, который нацелен не только на кражу SMS, содержащих mTAN’ы, но и на кражу непосредственно самих данных (логин/пароль) для идентификации пользователя в системе онлайн-банкинга. Эксперты полагают, что к созданию новой вредоносной программы причастны русскоязычные вирусописатели.

 

С полной версией отчета о развитии киберугроз в марте 2012 года можно ознакомиться на сайте www.securelist.com